Um die Cyber Security in KMU zu gewährleisten, beauftragen immer mehr Unternehmen Anbieter von Managed IT Services. Doch erste Abklärungen für die Einschätzung der IT-Sicherheit können KMU selbst vornehmen. Werden potenzielle Risiken erkannt, besteht Handlungsbedarf. Verfügt das KMU nicht über ausreichend eigenes Cyber-Security-Personal oder -Know-how, ist ein Beratungsgespräch mit einem kompetenten und erfahrenen Anbieter von Managed IT Services sinnvoll.
Mit diesen sieben Fragen lassen sich mögliche IT-Risiken identifizieren
Frage 1: Werden alle relevanten Daten regelmässig gesichert und die Datensicherungsprozesse zuverlässig kontrolliert?
Daten sind ein wichtiges Kapital des Unternehmens und unerlässlich für die verschiedenen Prozesse. Sie sind vor den zahlreichen Bedrohungen und vor Diebstahl oder Zerstörung zu schützen. Folgende Gefahren können zu einem Datenverlust führen:
- Elementarschäden: Feuer, Überschwemmungen, Stürme oder Erdbeben
- Hard- und Softwareabstürze
- Hardwarefehler
- Angriffe von Hackern
- Malware wie Ransomware, Viren, Würmer oder Trojaner
- Fehlerhafte Bedienung der Systeme durch die Mitarbeitenden
- Versehentliches Verändern oder Löschen der Daten
Nur wer alle wichtigen Daten regelmässig sichert, ist vor Datenverlust geschützt. Sämtliche relevanten Daten sollen in definierten, nicht zu langen Abständen kontinuierlich auf externen Backup-Medien gespeichert werden. War die Backup-Planung nicht sorgfältig, so werden wichtige Ordnerstrukturen, Verzeichnisse oder Dateien eventuell übersehen und fehlen somit in den Datensicherungen. Die automatisierten Datensicherungsprozesse müssen darüber hinaus laufend kontrolliert werden. Dies verhindert, dass die Sicherung aufgrund von Fehlern unbemerkt ausbleibt.
Frage 2: Existiert ein Disaster Recovery Plan und wird dieser periodisch getestet?
Eine vollständige und aktuelle Datensicherung ist die Grundvoraussetzung, um im Ernstfall alle benötigten Daten wiederherstellen zu können. Ausserdem muss ein Disaster Recovery Plan (Wiederherstellungsplan) vorhanden sein, der alle erforderlichen Tätigkeiten für den Ernstfall genau beschreibt und die Verantwortlichen für die Wiederherstellung benennt. Denn im Fehlerfall zählt jede Minute und jeder Handgriff muss sitzen. Für ein reibungsloses Disaster Recovery ist die Datenwiederherstellung in periodischen Notfallübungen zu testen und exemplarisch durchzuführen.
Frage 3: Sind das Netzwerk und der Internetzugang sicher und mit Firewalls geschützt?
Für die tägliche Arbeit in einem KMU sind die verschiedenen Endgeräte und IT-Systeme umfassend vernetzt. PCs und Notebooks greifen auf Internetseiten zu, Server liefern Daten an Internetnutzer aus oder Anwender nutzen IT-Systeme von Lieferanten und Partnern. Das Netzwerk besitzt für die tägliche Arbeit zahlreiche Schnittstellen zu anderen privaten und öffentlichen Netzen. Der Datenverkehr an diesen Schnittstellen ist permanent zu überwachen und zu kontrollieren, um unerwünschte Zugriffe zu verhindern. Dies gilt besonders für die Übergänge zum Internet, da gerade im Web zahllose Bedrohungen für die Cyber Security lauern. Ein KMU benötigt daher Sicherheitslösungen wie Firewalls, Proxy-Server oder Intrusion Detection und Intrusion Prevention Systeme (IDS und IPS), die das Unternehmensnetzwerk und die angeschlossenen Systeme schützen.
Frage 4: Sind Betriebssysteme, Anwendungen und Virenscanner auf dem neuesten Stand?
Täglich werden neue Schwachstellen in Software, Betriebssystemen oder Anwendungen bekannt, die von Cyberkriminellen mit neuen Methoden genutzt werden. Die Hersteller beheben die Probleme durch die Bereitstellung von Patches und Updates. Nur wenn diese vom KMU zeitnah eingespielt werden, können Angreifer die Schwachstellen nicht für ihre Zwecke missbrauchen. Um das Eindringen von Schadsoftware wie Viren oder Ransomware zu verhindern, sind Clientsysteme und Server mit aktuellen Virenscanner-Versionen auszustatten, um die neuesten Malware-Signaturen zu erkennen.
Frage 5: Erfüllt das WLAN die aktuellen Sicherheitsstandards?
Die drahtlose Kommunikation per WLAN spielt eine immer wichtigere Rolle für Unternehmen jeder Grösse. Das WLAN ermöglicht mobilen Endgeräten wie Smartphones oder Tablets den Zugang zum Unternehmensnetzwerk, bindet Produktionsmaschinen und -komponenten via Funktechnik in die Prozesse ein oder stellt Kunden und Partnern Internetverbindungen bereit. Damit das WLAN nicht zum Einfallstor für Schadsoftware oder Hackerattacken wird, sind aktuelle Sicherheitsstandards zu erfüllen. Dazu zählen etwa die Verschlüsselung mit einem sicheren Standard wie WPA2, die Trennung von WLAN-Zugängen für Gäste vom Produktionsnetz, die Authentifizierung über zentrale Server oder das Erkennen von betrügerischen und bösartigen Access Points (Rogue Access Points).
Frage 6: Ist das Personal hinsichtlich Cyber Security sensibilisiert und geschult?
Ein hohes Bedrohungspotenzial geht nicht nur von externen Angreifern, sondern auch vom eigenen Personal aus. Es kann die IT-Sicherheit bewusst oder unbewusst gefährden. Die Mitarbeitenden sind daher hinsichtlich der Wichtigkeit der Cyber Security zu sensibilisieren und regelmässig zu schulen. Ihnen sollten Angriffsmethoden wie Social Engineering oder Phishing und der verantwortungsvolle Umgang mit E-Mail-Anhängen oder externer Software bekannt sein. Darüber hinaus müssen sie die Sicherheitsrichtlinien des Unternehmens kennen und sie beispielsweise bei der Auswahl ihrer Passwörter beachten.
Frage 7: Existieren klare Verantwortlichkeiten für die IT-Sicherheit im Unternehmen?
Sicherheit in der IT setzt voraus, dass die Verantwortlichkeiten im Unternehmen klar geregelt und benannt sind. Es müssen interne oder externe Verantwortliche für die IT-Sicherheit bestimmt sein, die die Systeme kontinuierlich prüfen, aus den erkannten Schwachstellen Massnahmen ableiten und deren Umsetzung überwachen. Die Verantwortlichen haben die Einhaltung der Richtlinien für die Zugriffsberechtigung der Mitarbeitenden regelmässig zu prüfen und Verstössen nachzugehen.
Fazit
Durch die Beantwortung dieser Fragen lassen sich mögliche IT-Risiken für das Unternehmen ermitteln. Können nicht sämtliche sieben Fragen mit «Ja » beantwortet werden, bestehen erhebliche Risiken für die Sicherheit der IT-Systeme, Daten oder Anwendungen – Unternehmer oder IT-Verantwortliche sind in solchen Fällen gut beraten, rasch zu handeln. Sind nicht genügend eigene Ressourcen vorhanden, beheben externe Cyber-Security-Spezialisten erkannte Mängel. Erfahrene und kompetente Anbieter von Managed IT Services stehen dem KMU mit Rat und Tat zu Seite. Sie verfügen über das notwendige Know-how und sind hinsichtlich der IT-Sicherheit auf dem neuesten Stand.
.png){kind=icon}
